【正文】 .......................................................................................23. 威脅評(píng)估 ..........................................................................................................................24. 脆弱評(píng)估 ..........................................................................................................................26. 風(fēng)險(xiǎn)分析 ..........................................................................................................................27. 風(fēng)險(xiǎn)處置 ..........................................................................................................................29. 服務(wù)驗(yàn)收 ..........................................................................................................................30. 服務(wù)流程管理 ............................................................................................................................30. 管理概述 ..........................................................................................................................30. 管理組成 ..........................................................................................................................31第 5 章 啟明星辰信息安全服務(wù)產(chǎn)品優(yōu)勢(shì) ........................................................................................33. 公司整體優(yōu)勢(shì) ............................................................................................................................33. 服務(wù)發(fā)展優(yōu)勢(shì) ............................................................................................................................34. 服務(wù)資質(zhì)優(yōu)勢(shì) ............................................................................................................................35. 團(tuán)隊(duì)保障優(yōu)勢(shì) ............................................................................................................................36第 6 章 啟明星辰信息安全服務(wù)成功案例 ........................................................................................37. 重點(diǎn)案例列表 ............................................................................................................................38. 重點(diǎn)案例簡介 ............................................................................................................................39. 金融案例 ..........................................................................................................................39. 電信案例 ..........................................................................................................................39. 能源案例 ..........................................................................................................................40. 政府案例 ..........................................................................................................................40第 7 章 附錄術(shù)語定義 ........................................................................................................................41第 1 章第 1 章 風(fēng)險(xiǎn)評(píng)估的重要性. 風(fēng)險(xiǎn)評(píng)估背景隨著政府部門、企事業(yè)單位以及各行各業(yè)對(duì)信息系統(tǒng)依賴程度的日益增強(qiáng)，信息安全問題受到普遍關(guān)注。運(yùn)用風(fēng)險(xiǎn)評(píng)估方法去識(shí)別安全風(fēng)險(xiǎn)，解決信息安全問題得到了廣泛的認(rèn)識(shí)和應(yīng)用。信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施；為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障信息安全提供科學(xué)依據(jù)。信息安全風(fēng)險(xiǎn)評(píng)估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié)，貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)以及廢棄各個(gè)階段，是信息安全等級(jí)保護(hù)制度建設(shè)的重要科學(xué)方法之一。國內(nèi)風(fēng)險(xiǎn)評(píng)估推進(jìn)工作情況如下：時(shí)間 具體推進(jìn)事件歷程2022 年? 《關(guān)于加強(qiáng)信息安全保障工作的意見》 （中辦發(fā)[2022]27 號(hào)）中明確提出“要重視信息安全風(fēng)險(xiǎn)評(píng)估工作” 。2022 年? 為貫徹落實(shí) 27 號(hào)文件精神，原國信辦組織有關(guān)單位和專家編寫了《信息安全風(fēng)險(xiǎn)評(píng)估指南》 。2022 年? 原國信辦在北京、上海、云南、黑龍江 2 市 2 省區(qū)和銀行、電力、稅務(wù) 3 個(gè)行業(yè)組織了信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)。2022 年? 原國信辦召開了信息安全風(fēng)險(xiǎn)評(píng)估推進(jìn)工作會(huì)議。國家部委、各省信息辦依據(jù)中辦發(fā) 2022 5 號(hào)、9 號(hào)文件，開展重要行業(yè)安全風(fēng)險(xiǎn)評(píng)估工作。 2022 年? 為保障十七大，在國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)范圍內(nèi)，全面展開了自評(píng)估工作。 （中國移動(dòng)、電力、稅務(wù)、證券）至今? 經(jīng)過多年實(shí)踐，風(fēng)險(xiǎn)評(píng)估是“一種度量信息安全狀況的科學(xué)方法” ，通過對(duì)網(wǎng)絡(luò)和信息系統(tǒng)潛在風(fēng)險(xiǎn)要素的識(shí)別、分析、評(píng)價(jià)，發(fā)現(xiàn)網(wǎng)絡(luò)和信息系統(tǒng)的安全風(fēng)險(xiǎn)，通過安全加固，使高風(fēng)險(xiǎn)降低到可接受的水平，7 / 53從而提高信息安全風(fēng)險(xiǎn)管理的水平。 ”表1.. 風(fēng)險(xiǎn)評(píng)估目的風(fēng)險(xiǎn)評(píng)估是對(duì)網(wǎng)絡(luò)與信息系統(tǒng)相關(guān)方面風(fēng)險(xiǎn)進(jìn)行辨識(shí)和分析的過程，是依據(jù)國際/國家/地方有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，評(píng)估信息系統(tǒng)的脆弱性、面臨的威脅以及脆弱性被威脅源利用的可能性和利用后對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性所產(chǎn)生的實(shí)際負(fù)面影響，并以此識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程。風(fēng)險(xiǎn)評(píng)估目的是分析信息系統(tǒng)及其所依托的網(wǎng)絡(luò)信息系統(tǒng)的安全狀況，全面了解和掌握該系統(tǒng)面臨的信息安全威脅和風(fēng)險(xiǎn)，明確采取何種有效措施，降低威脅事件發(fā)生的可能性或者其所造成的影響，減少信息系統(tǒng)的脆弱性，從而將風(fēng)險(xiǎn)降低到可接受的水平；同時(shí)，可以定期了解信息系統(tǒng)的安全防護(hù)水平并為后期安全規(guī)劃建設(shè)的提出提供原始依據(jù)，并作為今后其他工作的參考。. 風(fēng)險(xiǎn)評(píng)估方式? 自評(píng)估是由被評(píng)估信息系統(tǒng)的擁有者發(fā)起，依靠自身的力量參照國家法規(guī)與標(biāo)準(zhǔn)，對(duì)其自身的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。 ? 檢查評(píng)估 檢查評(píng)估則通常是被評(píng)估信息系統(tǒng)的擁有者的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的，具有強(qiáng)制意味的檢查活動(dòng)，是通過行政手段加強(qiáng)信息安全的重要措施。? 委托評(píng)估 是由被評(píng)估信息系統(tǒng)的擁有者發(fā)起，委托專業(yè)的服務(wù)機(jī)構(gòu)，參照國家法規(guī)與標(biāo)準(zhǔn)，對(duì)其維護(hù)的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。第 2 章第 2 章第 2 章第 2 章第 2 章第 2 章第 2 章 啟明星辰信息安全服務(wù)產(chǎn)品介紹. 服務(wù)產(chǎn)品概述 啟明星辰信息安全風(fēng)險(xiǎn)評(píng)估服務(wù) 信息安全風(fēng)險(xiǎn)永遠(yuǎn)存在，安全產(chǎn)品不能解決所有的問題。信息安全工作本身是一個(gè)過程，它的本質(zhì)是風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)管理工作不僅僅是一個(gè)簡單的理論、方法，更需要在實(shí)踐中檢驗(yàn)發(fā)展。啟明星辰信息安全強(qiáng)調(diào)安全必須為業(yè)務(wù)服務(wù)，以最佳實(shí)踐作為信息安全工作的落腳點(diǎn)，通過有效的安全服務(wù)，讓安全技術(shù)有效地發(fā)揮作用。 啟明星辰信息安全為客戶提供全面的信息安全咨詢與風(fēng)險(xiǎn)評(píng)估服務(wù)。啟明星辰信息安全認(rèn)為，風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基石，安全管理監(jiān)控是風(fēng)險(xiǎn)管理的過程化實(shí)施。單純的技術(shù)評(píng)估不能全面揭示信息安全風(fēng)險(xiǎn)所在，脫離細(xì)致技術(shù)檢查手段的管理評(píng)估也似無本之木，技術(shù)和管理是密不可分的兩個(gè)方面。同時(shí)，應(yīng)用系統(tǒng)自身的安全性也是風(fēng)險(xiǎn)管理的重要組成部分。啟明星辰信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)基于技術(shù)方面的安全評(píng)估、基于管理方面管理評(píng)估和綜合兩者的全面評(píng)估，客戶可以全面了解組織內(nèi)部的信息安全狀況，盡早發(fā)現(xiàn)存在的問題。同時(shí)，根據(jù)安全專家的建議，客戶可以在降低風(fēng)險(xiǎn)、承受風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)等方面做出正確的選擇。啟明星辰信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)綜合國內(nèi)外相關(guān)標(biāo)準(zhǔn)與業(yè)界最佳實(shí)踐，為客戶清晰的展現(xiàn)信息系統(tǒng)當(dāng)前的安全現(xiàn)狀、安全風(fēng)險(xiǎn)，提供公正、客觀數(shù)據(jù)作9 / 53為決策參考，為客戶下一步控制和降低安全風(fēng)險(xiǎn)、改善安全狀況、實(shí)施信息系統(tǒng)的風(fēng)險(xiǎn)管理提供依據(jù)，從而引起相關(guān)領(lǐng)導(dǎo)關(guān)注和重視，為客戶后續(xù)信息安全工作爭取支持，為客戶后續(xù)信息安全順利開展?fàn)幦≠Y源和地位，風(fēng)險(xiǎn)評(píng)估能夠幫助客戶從技術(shù)、管理方面或全面摸清家底、做到知己知彼，順利進(jìn)行信息系統(tǒng)安全規(guī)劃、設(shè)計(jì)、建設(shè)。加強(qiáng)組織各層面對(duì)于信息安全工作的認(rèn)識(shí)和理解程度，提高組織各層面的信息安全保障意識(shí)，對(duì)于規(guī)范和系統(tǒng)化提高信息安全保障水平提供了有效的方法。. 服務(wù)產(chǎn)品功能資 產(chǎn) 分 類資 產(chǎn) 賦 值業(yè) 務(wù) 調(diào) 研 資 產(chǎn) 評(píng) 估威 脅 分 析威 脅 賦 值威 脅 識(shí) 別 威 脅 評(píng) 估 脆 弱 性 評(píng) 估技 術(shù) 脆 弱 性 識(shí) 別管 理 脆 弱 性 識(shí) 別1 2風(fēng) 險(xiǎn) 綜 合 分 析3 脆 弱 性 賦 值4風(fēng) 險(xiǎn) 綜 合 識(shí) 別 風(fēng) 險(xiǎn) 接 收 準(zhǔn) 則風(fēng) 險(xiǎn) 模 型 計(jì) 算風(fēng) 險(xiǎn) 處 置 計(jì) 劃5風(fēng) 險(xiǎn) 綜 合 評(píng) 價(jià)控 制 措 施 預(yù) 期 效 果 實(shí) 施 條 件 進(jìn) 度 安 排 責(zé) 任 部 門圖1. 資產(chǎn)評(píng)估資產(chǎn)是構(gòu)成整個(gè)系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個(gè)系統(tǒng)的業(yè)務(wù)10 / 53或任務(wù)的重要性，這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護(hù)價(jià)值。資產(chǎn)評(píng)估是與風(fēng)險(xiǎn)評(píng)估相關(guān)聯(lián)的重要任務(wù)之一，資產(chǎn)評(píng)估主要是對(duì)資產(chǎn)進(jìn)行相對(duì)估價(jià)，而其估價(jià)準(zhǔn)則就是依賴于對(duì)其影響的分析，主要從保密性、完整性、可用性三方面的安全屬性進(jìn)行影響分析，從資產(chǎn)的相對(duì)價(jià)值中體現(xiàn)了威脅的嚴(yán)重程度；這樣，威脅評(píng)估就成了對(duì)資產(chǎn)所受威脅發(fā)生可能性的評(píng)估，主要從發(fā)生的可能性、發(fā)生成功的可能性以及發(fā)生成功后的嚴(yán)重性三方面安全屬性進(jìn)行分析；目的是要對(duì)組織的歸類資產(chǎn)做潛在價(jià)值分析，了解其資產(chǎn)利用、維護(hù)和管理現(xiàn)狀。明確各類資產(chǎn)具備的保護(hù)價(jià)值和需要的保護(hù)層次，從而使組織更合理的利用現(xiàn)有資產(chǎn)，更有效地進(jìn)行資產(chǎn)管理，更有針對(duì)性的進(jìn)行資產(chǎn)保護(hù)，更有合理性的進(jìn)行新的資產(chǎn)投入。. 威脅評(píng)估威脅是指可能對(duì)資產(chǎn)或組織造成損害事故的潛在原因。作為風(fēng)險(xiǎn)評(píng)估的重要因素，威脅是一個(gè)客觀存在的事物，無論對(duì)于多么安全的信息系統(tǒng)，它都存在。威脅評(píng)估采用的方法是問卷調(diào)查、問詢、數(shù)據(jù)取樣、日志分析。在這一過程中，首先要對(duì)組織需要保護(hù)的